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Procede de transmission d'tnformatton confldentlelle entre deux cartes a puces. 



fe?) L'invGntion conceme la trcinsmission crypt6e d'une in- 
forfriation (Kd) entre deux cartes A micro processeur (CM, 
CP). On cryptG rinformation dans la premiere carte, on 
transmet rinformation cryptde de la premiere carte ^ la 
deuxifeme, et on decrypts rinformation dans la deuxieme 
carte. La particularity de I'invention est que Ton utilise une 
cl6 de cryptage puisne dans une reserve de cl6s potentlei- 
IGS qui est constitute par la m6moire morte (1 20 pour CM, 
220 pour CP) de la carte. Pour que les deux cartes puis- 
sent utiliser la meme cl6 sans faire transiter cette cl6 en 
Clair entre les deux cartes, on utilise un index, engendrd 
par la premiere carte et transmis ^ la deuxieme carte. La 
cl6 est le contenu du fichier de m6moire morte ^ I'adresse 
d6flnle par I'index. 

Application k la transmission d'une ct6 secrete (Kd), di- 
verslfi6e partir d'une cl6 de base (KF), entre une carte de 
diversification (CM) et une carte k personaliser (CP). 
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PROCEDE DE TRANSMISSION D » INFORMATION CONFIDENTIELLE 
ENTRE DEUX CARTES A PUCES 



L • invention concerne la secur ite dans les 
applications des cartes a puces. Plus precisement elle 
concerne la transmission secur isee d' informations entre 
deux cartes k puces. 
5 On decrira 1* invention a propos d'un cas 

particulier, bien que 1* invention ait des applications 
plus generales. Ce cas particulier est celui de 
1 ' elaboration de cles de cryptage secretes, diversifiees 
a partir d'une cle de base,, qui doivent etre placees 

10 dans des cartes a puces cpa'on veut utiliser dans une 
application determinee. 

Pour une application determinee, application 
bancaire par exemple, I'emetteur de cartes a puces (la 
banque par exemple) va distribuer une carte a chaque 

15 client. Cette carte devra comporter dans sa memoire 
interne une cle de cryptage secrete, non connue et non 
accessible meme par le titulaire de la carte. Cette cle 
servira a crypter la transmission d ' informations entre 
la carte et 1 ' appareil ' de ' transaction qui va utiliser la 

20 carte. L' appareil de transaction connaitra la cle 
secrete, pour pouvoir decrypter la transmission. 

La cle secrete sera dif ferente pour chaque, carte, 
et c'est pourquoi elle est" ;appe lee cle diversifiee. 

II est done ' necessaire, i. un certain stade de 

25 1 ' elaboration des cartes, de placer une meme cle. secrete 
a la fois dans, la carte d'un titulaire el: dans 
1' appareil de transaction , (ou dans le systeme- 
informatique general qui pilote les appareils de 
transaction) . II y a done necessite de transmettre une 

30 , information conf identielle d*un organe a un autre. 
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Cette operation est delicate car il y a un risque 
qu*une personne chargee de ce travail et pouvant done 
avoir de ce fait acces aux cles secretes, ne s'en serve 
pour r^aliser frauduleusement des cartes ayant toutes 
les capacites des cartes legitimes. 

Evidemment on peut crypter a nouveau la 
transmission de 1' information conf identielle. Mais pour 
cela il faut une cle de cryptage et cette cle doit aussi 
etre transmise. On n'a fait que reporter le probleme. 

Par exemple, une technique de production d'une cl4 
diversifiee pour une application a utilisateurs 
multiples est la suivante : on utilise deux cartes a 
puces semblables, dont I'une est une carte maltresse 
chargee d'elaborer et . eventuellement de garder en 
memoire la cle diversifiee, et 1' autre est une carte 
esclave ou carte a personnaliser, devant recevoir dans 
sa memoire la cle secrete diversifiee qu'elle devra 
utiliser par la suite pour des operations 
d'authentif ication. La carte maltresse pourra servir a 
transporter, vers les appareils de transaction ou vers 
le systeme qui les gere, la lists des cles divers if iees 
autorisees. 

Dans cette technique, la carte maltresse contient 
un microprocesseur avec une memoire de programmes, et 
dans cette memoire un programme d* elaboration de cle 
diversifiee. Mais corame la cl^ diversifiee ne doit pas 
circuler en clair entre les deux cartes (pour eviter les 
fraudes) , la carte comprend aussi un programme de 
cryptage pour envoyer la cle diversifiee sous une forme 
indechiffrable. La cle diversifiee est done calculee, 
puis crypt^e; le resultat du cryptage est envoys a la 
carte a personnaliser. 

La carte a personnaliser contient aussi un 
microprocesseur et une memoire de programmes, et dans 




cette memo ire un programme de d^cryptage permettant de 
retrouver la cle diversifiee §i partir du signal crypte 
qu'elle regoit. - 

Le programme de cryptage utilise une cle secrete de 
cryptage qui, bien entendu, doit r ester confidential le, 
faute de quoi urie reconstitution de cles diversifiees 
serait possible; entrainant le risque de production 
f rauduleuse de cartes , 

Mais le programme de decryptage doit connaltre 
cette cle, faute de quoi il ne pourrait pas reconstituer 
la cle diversifiee qu'il attend, II faut done que la 
carte a personnaliser contienne, dans une zone de 
memoire inaccessible, cette meme cle de cryptage. Et par 
consequent il faut qu'a un moment ou un autre du precede 
de cryptage on place dans les deux cartes a la fois une 
meme cle de cryptage, qui ne sert que provisoirement 
pour envoy er de la carte maltresse vers la carte a 
personnaliser la cle diversifiee. . 

11 y a done un risque qu'une personne mal 
intentionnee utilise la connaissance qu'elle a de cette 
cle pour reconstituer h des fins frauduleuses tout le 
processus de fabrication d*une cle diversifiee. Cette 
personne pourrait ' alors realiser de fausses "vraies 
cartes" . 

Le but de reinvention est d'eviter ce risque par un 
moyen relative'ment simple. 

Selon 1' invention, on utilise le fait que la carte 
maltresse et la carte a personaliser ont dans leur 
memoire ' morte ' des programmes ou des portions de 
programmes . identiques , ne serait-ce que parce qu'elles 
sont faites par le m^me fabricaht, ou parce qu'elles ont 
un systeme d' exploitation identique ou parce qu'elles 
respectent des criteres de normalisation identiques. 
Dans :1a pratique, la memoire morte des deux cartes sera 
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in§me rigour eusement identique. 

L'idee maltresse de 1» invention est d'utiliser 
comme cle de cryptage commune aux deux cartes une donnee 
prise parmi un f ichier (et de preference le f ichier de 
memoire morte du systems d* exploitation de la .carte) 
dont le contenu et 1 » organisation sont identiques dans 
les deux cartes, la donnee 6tant designee a partir d'un 
index transmis d'une carte a 1' autre et susceptible de 
varier. 

Par consequent, au lieu d* avoir a inscrire dans 
deux cartes differentes une cl^ de cryptage commune avec 
le risque que cette inscription double permette ensuite 
une fraude, on utilise comme cle de cryptage un contenu ■ 
deja inscrit mais inconnu a priori et pouvant varier 
d'une operation a une autre. Si de plus I'adresse a 
laquelle on va chercher ce contenu varie de maniere 
aleatoire, on about it a une tres grande securite. 

Selon un aspect de 1' invention, on propose done un 
precede de transmission cryptee d'une information entre 
deux cartes a microprocesseur qui ont chacune un f ichier 
de memoire a plusieurs adresses, ce f ichier ayant un 
contenu identique pour les deux cartes, procedd dans 
lequel on crypte 1 ' information dans la premiere carte, 
on transmet 1' information cryptee de la premiere carte a 
la deuxieme, et on decrypte 1 ' information dans la 
deuxieme carte, ce precede etant caracterise en ce que 
le cryptage et le d^cryptage sont effectues avec pour 
cle le contenu d'une partie seulement du f ichier de 
memoire, identifies par une donnee d'adressage qui est 
utilises par la premiere carte et transmise a la 
deuxieme carte. 

La donnee d ' adressage peut etre une adresse 
, proprement dite, mais de preference elle sera plutot un 
index a partir duquel on peut calculer une adresse. Les 
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deux cartes possedent alors en memoire le meme programme 
de calcul d'une adresse a part ir d* una valeur d' index. 

Selon un aspect important de 1' invention, c'est la 
memoire morte de la carte, celle qui contient le systeme 
d » exploitation de la carte qui va etre utilisee. Elle 
constitue en effet un fichier dans lequel on peut puiser 
un grand nombre de cles (chaque cle correspondant par 
exemple a un mot ou plusieurs mots consecutifs de 
memoire) . 

L» invention est applicable notamment mais non 
exclusivement au cas €voque dans le preambule, §l savoir 
le cas oH 1 ' information a transmettre de mani^re cryptee 
entre les deux cartes est elle-m§me une cle de cryptage; 
et notamment lorsque cette information est une cle 
diversifiee qui doit ^tre calculee par la premiere carte 
et stockee de maniere conf identielle dans la deuxieme, 

Une maniere de mettre en oeuvre 1' invention 
consiste a utiliser, pour chaque operation de 
transmission cryptee entre les deux cartes, un 
generateur de donnee aleatoire interne a: l»une des 
cartes (de preference la premiere) ; ce generateur 
fournira une donnee non previsible pouvant servir 
d" index pour le ■ calcul d' une adresse de memoire de 
chaque carte., Get index aleatoire permettra de definir 
une cl^; de cryptage; il sera utilise par la premiere 
carte pour . crypter la transmission, et il sera envoye a 
la deuxieme carte en meme temps que 1' information 
cryptee pour permettre le decryptage. Lors d'une 
nouvelle operation, le generateur aleatoire fournira une 
autre adresse de memoire. 

D»autres caracteristiques et avantages de 
1 * invention apparaitront a la lecture de . la description 
detaillee qui suit et qui est faite en reference aux 
dessins annexes dans lesquels : 
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la figure 1 represente un systems de 
diversification de cl6 dans lequel la presente invention 
peut etre mise en oeuvre; 

- la figure 2 represente schematiquement les deux 

cartes du systeme; 

- la figure 3 represente les etapes principales du 
precede de transmission securis^e de 1» invention. 

L' invention est applicable de maniere g^nerale a. la 
transmission d» information crypt^e entre deux cartes 
ayant chacune au moins une memoire figee dont le contenu 
est commun aux deux cartes; la description qui suit sera 
donnee en reference a I'exemple particulier . de la 
tr ansmiss ion d • une cle divers if iee entre une carte, 
maitresse et une carte a personal iser avec une cle 
diversifi^e. 

A la figure 1 on a done represente un systeme 
capable de recevoir deux cartes et de permettre un 
dialogue entre les deux cartes. Le systeme peut etre un 
microordinateur a usage general PC avec un clavier CL, 
un ecran SC et deux lecteurs de cartes LCI et LC2 , ou 
bien ce peut etre un systeme specialement con^iu pour 
1» operation de diversification. II doit pouvoir realiser 
la transmission d ' informations entre deux cartes a 
puces - 

L'une des cartes est la carte maitresse CM; 1' autre 
est la carte a personaliser CP. 

Les deux cartes sont des cartes a microprocesseur , 
comportant un microprocesseur/ une memoire vive de 
travail (RAM) , une memoire morte de programmes (ROM) 
contenant au moins le systeme d * exploitation de la 
carte, et une memoire non volatile electriquement 
in scrip tible (EPROM ou EEPROM ou Flash EPROM) . Cette 
derniere memoire contient en principe des programmes 
d» application, mais elle peut contenir aussi d'autres 



donnees, et notamment des nuineros d » identification, et 
la cle secrete divers if iee qu'on va chercher a y mettre. 

Class iqueinent, certaines zones de la memoir e non 
volatile' inscriptible electriquement sent non 
access ibles en lecture et en ecriture, sauf par le 
microprocesseur dans certains programmes du systeme 
d' exploitation. 

Le contenu de la memoire morte de programmes n'est 
d'ailleurs pas accessible sur les bornes extirieures de 
la carte. Seul le microprocesseur peut aller le 
chercher; uniquement lors de certains programmes du 
systeme d* exploitation. 

Sur la , figure 2 on a represerite ' les deux cartes 
sous forme schematique, avec leur microprocesseurs (MPl 
pour la carte maitresse, MP2 pour la carte a 
personaliser) / leur memoire vive (110, 210) leur memoire 
morte (120, 220) leur memoire non volatile (130, 230), 
et un interface de communication avec I'exterieur (140, 
240). 

L* elaboration de la cle diversifiee, a placer a la 
f ois dans la memoire non volatile de la carte a 
personaliser et dans la memoire non volatile de la carte 
maitresse, se fait. comme suit : • 

Une donnee NS est envoyee par la carte a 
personaliser CP a la carte maitresse CM. Cette donnee 
peut etre le numero de serie de la, carte, inscrit dans 
sa memoire, non volatile 230, 

Cette > donnee sert a 1 • elaboration de la cle 
diversifiee Kd qu ' on veut elaborer ^ - . . 

Par exemple, la valeur Kd est elaboree a partir de 
NS par une foriction de cryptage a cle secrete C(NS,KF) 
oa KF est une cle secrete contenue .dans la carte 
maitresse. Le programme de calcul de cette fonction est 
contenu dans la memoire de la carte- MP et est execute 
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par le microprocesseur de cette carte. La fonction C() 
est de preference 1 * algorithme standard DES ( "Data 
Encryption Standard") publie par le National Bureau of 
Standards des USA, dans Federal Register vol 40, N*>52 du 
17 Mars 1975 et N° 149 du ler Aoiit 1975. 

La cle diversifiee Kd a mettre dans la carte a 
personaliser est done Kd = C(NS,KF). Elles est destin^e 
a etre transmise a la carte a personaliser, mais par 
ailleurs elle peut etre enregistr^e dans la carte 
maltresse, ou etre envoyee par tout moyen a 
1' application dans laquelle la carte sera utilisee. La 
carte maltresse peut elle-iaeme servir de vecteur de 
transmission vers un ordinateur central de cette 
application. 

Dans certains cas, il n'est meme pas necessaire de 
conserver la cle Kd autrement que dans la carte a 
personaliser . C • est le cas lorsque 1 ' application ne 
cherche pas a verifier precisement chaque cle 
diversifiee mais cherche tout simplement a verifier si 
la cle presente dans la carte est bien une cle 
diversifiee a partir d'une cle de base KF determinee. 

Pour ne pas transmettre en clair la cle Kd a la 
carte a personaliser on precede de la maniere indiquee 
ci-apres . 

Un index I de valeur aleatoire, non repetitive 
d'une etape de diversification de cle a une autre est 
elabore. 

Sommairement, on peut creer cet index a partir d'un 
generateur pseudo-aleatoire physique, ou avec un 
programme contenu dans la memo ire de la carte maltresse; 
ce programme peut utiliser le contenu d'un registre non 
volatile increment e a chaque nouvelle operation et une 
fonction de cryptage telle que 1» algorithme DES, 
eventuellement avec la meme cle secrete KF dej^ utilisee 
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precedemment ou ayec n* imports quelle autre cle. Le 
nombre ainsi genere peut etre considere comae aleatoire 
et non repetitif . pour les besoins pratiques. . 

L' index de valeur aleatoire I va servir a calculer 
5 une adresse de memoire morte. Pour . augmenter la 
securite, on prefere ne pas utiliser directement 1' index 
comme adresse ou comme saut d» adresse. Mais on effectue 
un calcul, par exemple une fonction polynomiale, pour 
g^nerer une adresse AD = P(I) . On s» arrange pour que 
10 cette adresse reste contenue dans des limites telles que 
n*importe quelle adresse ainsi gen§ree designe un mot de 
memoire d'un fichier identique dans les deux cartes. 

Le programme de calcul de 1 ' adresse AD a partir de 
I est contenu dans une memoire de la carte maitresse, 
15 mais aussi dans une memoire de la carte a personaliser . 

L' index I sera transmis en clair a la carte a 
personaliser. 

L* adresse AD est utilisee par le microprocesseur 
qui va lire dans la memoire de la carte, a 1* adresse AD, 

20 un contenu qui sera considere comme une cle de cryptage 
Kc pour xine fonction de cryptage D(Kd,Kc) de la cle de 
diversification Kd. . 

Le fichier choisi pour servir ainsi de reserve de 
cles de cryptage est le fichier de memoire morte, celui 

25 qui contient le systeme d' exploitation de la memoire, 
car d*urie part il est identique pour les deux cartes, et 
d' autre part il contient suffisamment de mots pour 
constituer une reserve de nombreuses . cles de cryptage 
possibles. - ^ , 

30 . Le programme de cryptage .p() qui va utiliser la cle 

trouvee a 1* adresse AD est contenu dans, la memoire de la 
carte maltresse; il est execute et le resultat D{Kd,Kc) 
est .transmis a la carte a personaliser. en meme temps que 
1 ' index -I . 
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La carte a personaliser regoit 1* index I, execute 
la meme fonction polynomiale, qu'elle a en m^moire 
(morte ou non volatile), detemine I'adresse AD, va 
chercher son contenu qui est le m^me contenu Kc que dans 
1* autre carte du fait que la zone de memoire designee 
est identique dans les deux cartes. 

La carte a personaliser comporte par ailleurs un 
programme de decryptage D~l() qui est 1* inverse du 
programme de cryptage D() et qui permet done de 
retrouver Kd en utilisant la meme cle Kc qui a servi a 
crypter Kd. 

Autrement dit, si U=D(Kd,Kc), . alors 

Kd = D-i(U,Kc) . r.- 

La cle diversifiee Kd est done retrouv^e, et 
stockee dans la memoire non volatile de la carte a 
personaliser (zone inaccessible, c'est-a-dire ne pouvant 
pas etre utilisee autrement que par le microprocesseur 
pour les besoins des f onctions de cryptage) . 

La cle diversifiee Kd pent ^galement etre stockee 
dans la memoire de la carte maitresse CM. -i.. 

Seul a transite en clair entre les deux cartes 
1' index I. Celui-ci represente non pas un cryptage reel 
mais une dissimulation de I'adresse AD. 

Mais m§me si un fraudeur arrivait a connaltre 
I'adresse AD qui a servi au moment du cryptage, il faut 
comprendre que 

- d*une part, le fraudeur ne connait pas le contenu 
du fichier (inaccessible) qui est utilise comme reserve 
de cles; 

- d' autre part, 1' index et done I'adresse AD sont 
renouveles a ehaque fois d'une maniere aleatoire et par 
consequent 1 ' observation d'une transmission ne permet 
pas de deduire des enseignements pour une procliaine 
fois . 
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La figure 3 rappelle les principales etapes de ces 
operations. 

On pourrait envisager d'utiliser cpmme inemoire 
coiomune aux deux cartes non pas la memoire itiorte de 
programme de systdme de la carte mais une memoire 
electriquement programmable (non accessible en ecriture 
ef f acement ou lecture) pourvu qu ' elle ait un contenu 
identique pour les deux cartes. 

La cle de cryptageKc trouvee a I'adresse AD peut 
etre constituee par un mot a cette adresse, ou plusieurs 
mots consecutifs debutant a I'adresse AD, ou encore une 
fraction du mot a I'adresse AD. On peut aussi envisager 
des solutions plus complexes de choix de la cle a partir 
de 1 * adresse AD : par exemple, la cle peut etre 
constituee par le premier bit de x mots success if s a 
partir de I'adresse AD, 
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REVENDICATIONS 



1 . Procede de transmission cryptes d ' une 
information (Kd) entre deux cartes a inicroprocesseur 
(CM, CP) qui ont chacune un fichier de memoire (120, 
220) a plusieurs adresses, ce fichier ayant un contenu 
identique pour les deux cartes, procede dans lequel on 
crypte 1 ' information dans la premiere carte, on transmet 
1 • information cryptee de la premiere carte a la 
deuxieme, et on decrypts 1 * inf omation dans la deuxieme 
carte, ce procede etant caracterise en ce que* le . 
crypt age et le decrypt age sont effectues avec pour cl4 
(Kc) le contenu d'une partie seulement du fichier de 
memoire , identifies par une donnee d * adressage (I) 
commune qui est utilises par la premiere carte et 
transmise a la deuxieme carte. 

2. Procede de transmission cryptee selon la 
revendication 1, caracterise en ce que les cartes sont 
des cartes a microprocesseur comportant une memoire 
mbrte de programmes dont le contenu est notamment un 
syst^me d* exploitation de la carte, et en ce que le 
fichier de memoire commun utilise comme reserve de cles 
de cryptage est la memoire morte de chacune des cartes. 

3. Proced^ selon I'une des revendications 1 et 2, 
caracterise en ce que la donnee d' adressage transmise de 
a la deuxieme carte est un index (I) permettant de 
calculer une adresse (AD) , et en ce que les deux cartes 
comport ent en memoire un meme programme de calcul P(I) 
pour calculer une adresse a partir de 1' index. 

4 . Procede selon la revendication 3 , caracterise 
en ce que 1' index est elabore dans la premiere carte, 

5. Procede selon I'une des revendications 3 et 4, 
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caract^rise en ce que 1* index est elabore de maniere 
al^atoire, par un generateur pseudo-aleatoire ou un 
programme de calcul d*un nombre aleatoire. 

6. Precede selon 1 ' une des revendications 3a 5, 
caracteris^ en ce que 1/adresse est calculee par une 
fonction polynomiale a partir del* index, 

7. Precede selon l*une des revendications 
preccdentes, caracterise en ce que, la premiere carte est 
une carte de calcul d'une cle de cryptage diversif iee 
(Kd) , cette cle etant destinee a etre stockee dans la 
deuxieme carte qui est une carte a personaliser , en ce 
que 1 ' information a transmettre est cette cle (Kd) , et 
en ce que . la premiere carte envoie a la deuxieme a la 
fois la donnee d*adressage (I) et la cle diversif iee 
cryptee par une cle (Kc) trouvee dans le f ichier de 
memoire a partir de la donnee d*adressage. 
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EP-A-Q 284 133 (T.R.T. ) 
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